CISA Avvisa su 6 Vulnerabilità: Apache, Adobe, Apple, D-Link, Joomla sotto Attacco

news haking

CISA Avvisa su 6 Vulnerabilità: Apple, Apache, Adobe, D-Link, Joomla Sotto Attacco

L’Ufficio per la Sicurezza Informatica e dell’Infrastruttura (CISA) degli Stati Uniti ha recentemente aggiunto sei nuove vulnerabilità al suo catalogo di vulnerabilità note, evidenziando attività di sfruttamento in corso.

Tra queste, c’è CVE-2023-27524 (punteggio CVSS: 8.9), una vulnerabilità critica che colpisce il software di visualizzazione dati open-source Apache Superset, consentendo potenzialmente l’esecuzione remota di codice. Questa problematica è stata corretta nella versione 2.1.

La descrizione iniziale del problema, risalente ad aprile 2023, fornita da Naveen Sunkavally di Horizon3.ai, indica una pericolosa configurazione predefinita in Apache Superset che può permettere a un aggressore non autenticato di eseguire codice a distanza, raccogliere credenziali e compromettere dati sensibili.

Attualmente non si ha informazione su come questa vulnerabilità sia sfruttata in situazioni reali. Inoltre, CISA ha segnalato altre cinque vulnerabilità di rilievo:

  • CVE-2023-38203 (CVSS: 9.8) – Vulnerabilità di Deserializzazione di Dati Non Attendibili in Adobe ColdFusion
  • CVE-2023-29300 (CVSS: 9.8) – Vulnerabilità di Deserializzazione di Dati Non Attendibili in Adobe ColdFusion
  • CVE-2023-41990 (CVSS: 7.8) – Vulnerabilità di Esecuzione di Codice in Prodotti Multipli Apple
  • CVE-2016-20017 (CVSS: 9.8) – Vulnerabilità di Iniezione di Comandi in Dispositivi D-Link DSL-2750B
  • CVE-2023-23752 (CVSS: 5.3) – Vulnerabilità di Controllo di Accesso Improprio in Joomla!

Particolarmente significativa è la CVE-2023-41990, risolta da Apple nelle versioni iOS 15.7.8 e iOS 16.3, utilizzata da attori sconosciuti durante gli attacchi spyware di Operazione Triangolazione per ottenere esecuzione remota di codice attraverso l’elaborazione di allegati PDF di iMessage.

CISA ha raccomandato agli enti dell’Executive Branch Civile Federale (FCEB) di applicare le correzioni per queste vulnerabilità entro il 29 gennaio 2024 per proteggere le proprie reti da potenziali minacce attive.

Fonte della notizia

CISA Avvisa su 6 Vulnerabilità: Apache, Adobe, Apple, D-Link, Joomla sotto Attaccoultima modifica: 2024-01-13T06:19:15+01:00da puma1973a
Reposta per primo quest’articolo